Kafası karışmış bir pazarlama ekibi üyesi, “patron”dan satın alma talimatlarını aldıktan sonra gergin bir şekilde 1.000 $ değerinde Amazon hediye kartı satın alır. Tüm satış ekibi, rakip web sitelerini ziyaret ederken düşüncesizce çerezleri kabul eder ve ticari istihbarat toplamak için yeni uygulamalar indirirken gizlilik açıklamalarını atlar. Telefonunuz titrer ve bu bir istemcidir. Hassas müşteri bilgilerinin neden güvenli olmayan bir Google Dokümanında olduğunu öğrenmek istiyorlar.
Bu paniğe neden olan senaryolar, modern BT ve güvenlik liderlerinin çoğuna aşinadır ve ortak bir şeyleri paylaşırlar. Her varsayımsal arıza, çalışanların – ve bir bütün olarak dijital kamuoyunun – çevrimiçi davranışlarıyla ilgili yanlış bir güvenlik duygusuna kapılmalarının sonucudur.
BT ve güvenlik liderleri, dijital tehditlerin giderek artan manzarasının farkında olsa da, çalışanlar daha az hazırlıklı ve bu da her kuruluş için bir risk oluşturuyor.
Güvenlik Tiyatrosu, İstikrarlı İyileştirmelerden Uzak Duruyor
Tamamen desteklediğim dijital tehditlerdeki artışı durdurmak için büyük gizlilik yasalarının çıkarıldığını gördük. Ancak, kapsamlı yasalar gibi GDPR ve yönetmelikler eyalet tarafında kurulmuş gerçek korumalardan çok güvenlik tiyatrosu olarak bir etkiye veya sonuca sahip olmuştur.
güvenlik tiyatrosu nedir? Güvenlik görünümü sunan ancak bunu garanti etmeyen bir dizi kural veya yönergedir. Kullanıcılar da suçsuz değildir. Güvenlik tiyatrosu, tüketiciler iyi niyetli korumalar konusunda kayıtsız kaldığında da ortaya çıkabilir. Örneğin, çerez bildirimleri, web sitelerinin müşteri verilerini nasıl ve nerede izlediği ve kullandığı konusunda şeffaflık gösterirken, gizlilik bildirimlerinin tamamını okuyan var mı? Kullanıcılar tıkladıkları şeyin sonuçlarını anlıyor mu? Yoksa fark edemeyecek kadar bildirimlerle dolu mu?
Dijital okuryazarlık ve güvenlik standartları okul müfredatında zorunlu hale gelene kadar, çalışanlarınızın çevrimiçi eylemlerinin riskleri konusunda bilgili olmalarını sağlamanın en iyi yolu, iyileştirilmiş güvenlik eğitimi ve öğretimi yoluyla düşünceyi yeniden çerçevelendirmektir.
Bir teknoloji lideri olarak, her çalışanın kuruma risk davet edebilecek bir son nokta olduğunu bilirsiniz. Ancak bu aynı zamanda, yeterince hazır olduklarında ve doğru kafa boşluğunda bulunduklarında, çalışanların tehditlere karşı da koruyucu olabileceği anlamına gelir.
Dumanı ve Aynaları Kaldırın
Zorunlu ve rutin eğitim ve güvenlik araçlarına ek olarak, çalışanların potansiyel risklere karşı tetikte olmalarını sağlamanın en iyi yolu, onları iç ve dış tehditleri değerlendirme ve bunlara karşı savunmada eleştirel düşünceden yararlanmaya teşvik ederken çevrimiçi zihniyetlerini yeniden şekillendirmelerine yardımcı olmaktır. Çalışanların çevrimiçi etkileşimde bulunduklarında neyin tehlikede olduğunu ve oradayken etkileşimde bulundukları bilgilerin değerini daha sağlıklı bir şekilde anlamalarına yardımcı olmak, dijital alışkanlıkları güçlendirebilir ve bir tehditle karşı karşıya kaldıklarında ya da tehdit oluşmadan önce daha dikkatli, proaktif düşünmeyi geliştirebilir.
İşte başlamak için üç zihniyet değişikliği:
- Verilerin temel değerini anlayın. Çalışanlar – ve çoğu çevrimiçi tüketici – tanımlama bilgileriyle karşılaştıklarında “tümünü kabul et” seçeneğine basmadan önce fazla düşünmezler. Benzer şekilde, kullanıcılar uygulamalardaki veya hizmetlere kaydolurken gizlilik bildirimlerini gözden kaçırır ve hatta atlar. Bu davranışlar formalite icabı gelebilir, çünkü bu tür güvenlik bildirimleri çevrimiçi etkileşimde bulunduğumuzda kesintisizdir ve “kabul etmek” çoğu zaman olduğu gibi değer alışverişi gibi görünmez. Çalışanların verilerinin değerini anlamalarına yardımcı olabilirseniz, her çevrimiçi kararın ne kadar değerli olduğunu anlamaları ve tıklayıp kabul etmeden önce daha eleştirel düşünmeleri daha olasıdır. Her üç ABD çalışanından birinin dijital cihazları kullanma becerisinin çok az olduğu veya hiç olmadığı göz önüne alındığında, daha sağlam güvenlik için önemli bir eksik bileşen, kuruluşunuzun ve sektörünüzün karşı karşıya olduğu belirli tehditlere odaklanan işyeri dijital okuryazarlık eğitimidir.
- Niyetle hareket et. İnsanlar verilerinin değerini anladıklarında, ona karşı daha dikkatli ve koruyucu olurlar. Ancak çalışanlarınız, proaktif olarak riskler hakkında sorular sormaya ve kendilerini korumanın daha iyi yollarını formüle etmeye teşvik edilmelidir. Örneğin, ekiplerinizin kimlik avı metinleri veya e-postaları aldıklarında standartlaştırılmış bir iletişim planına erişimi ve bu plana aşina olması gerekir. Bu tehditleri basitçe silmek yerine, tüm çalışanlar iletişimlerin ekran görüntüsünü almalı, görüntüleri güvenlikten sorumlu departmana iletmeli ve metin konusunda ekip üyelerini hemen uyarmalıdır. Güvenlik tehditlerine karşı dikkatli bir bakış, yalnızca ilk adımdır; ardından çalışanlarınız, karşılaştıkları şüpheli etkinliklerle başa çıkmaya hazır hissetmelidir.
- Bağlam ne olursa olsun en iyi veri uygulamalarını takip edin. Gerçek müşterilerinizden ne kadar uzakta olursa olsun, çalışanlarınızın müşteri verilerinin kutsal olduğunu anlayıp anlamadıklarını belirlemek önemlidir. Bu konseptin güzel bir örneği, hukuk teknolojisinde oturduğum yerden geliyor. Hukuk büromuz müşterileri, boşanma, iflas, karmaşık emlak alımları ve daha fazlasını içeren konularla günlük olarak müvekkilleriyle ilgilenir. Doğal olarak, bu yasal işlemler, platformumuzda saklanan muazzam miktarda kişisel, hassas veriyi kapsamaktadır. Bu bilgilerin ihlalinin geri alınamayacağını ve hayatları mahvedebileceğini bilerek bu bilgilerin korunmasını son derece ciddiye alıyor ve koruma mekanizmalarımızı geliştirmek için çalışıyoruz. Tehditlere karşı koruma, ekip çalışması gerektirir. Sonuç olarak, hukuk firması müvekkillerimizi, tüm çalışanlarının özel bilgileri korumadaki rollerini anlamalarını sağlamaya teşvik ediyoruz. Müşterileri, bir şifre yöneticisi kullanmak ve iki faktörlü kimlik doğrulamayı etkinleştirmek, güvenli olmayan hesaplardan veya cihazlardan belge göndermekten veya paylaşmaktan kaçınmak ve hassas müşteri bilgilerinin yanlışlıkla paylaşılması durumunda acil durum planları uygulamak gibi en iyi güvenlik uygulamaları hakkında bilgilendiriyoruz.
Çalışanlar, ne kadar küçük olursa olsun, günlük davranışlarının hassas verileri nasıl açığa çıkarabileceğini anladıklarında, ilk etapta risk oluşturma olasılıkları azalır. Çalışanları her senaryoda verilerin nasıl korunacağı konusunda eğitmeye çalışırken, tetikte olma alışkanlığı oluşturmak, en başta gereken tepkisel sorun çözme miktarını azaltır.
Çalışanlarınızın verilerin değerine yönelik temel anlayışını ve saygısını geliştirmek, kuruluşunuzu dijital tehditlere karşı korur. Ancak devam eden zihniyet değişimleriyle bu anlayışı güçlendirmeden, tekrarlayan gizlilik bildirimlerinin statüko ve güvenlik alanı, çalışanların kendilerini daha kayıtsız hissetmelerine neden olacaktır. Kendini beğenmişlik risk getirir – yani çalışanlarınız çevrimiçi davranışları hakkında eleştirel düşünüyor mu?
Ve sen de bu konuda eleştirel düşünüyor musun?